Kerroimme eilen, että tietokoneturvallisuuden asiantuntija Ibrahim Balic löysi virheen, jonka ansiosta hän pääsi käsiksi Applen työntekijöiden tietoihin., sovelluskehittäjien, mutta myös tavallisten käyttäjien. 73 Applen työntekijän ja 100.000 XNUMX iTunes-käyttäjän tilit saavutettiin Balic Applen suunnitteleman iAd-järjestelmän haavoittuvuuden kautta. Balic havaitsi haavoittuvuuden 18. kesäkuuta yhdessä 13 muun kanssa, jotka lähetettiin myöhemmin Applelle. Tietoturvaasiantuntija väitti, että Applen palvelimille iAd Workbenchin kautta lähetettyjä pyyntöjä voidaan helposti manipuloida.
On kuitenkin harmi, että video vaikutti niin lopulliselta: Esitettyään kuvia Applen kaatuneesta Dev Centeristä ja yrityksen virallisesta vastauksesta, Balic näytti sitten joukon tiedostoja, jotka näyttivät sisältävän täydet nimet ja sähköpostiosoitteet. Vaikuttaa aika hirveältä, mutta Balic sanoo, ettei hän koskaan käynyt Developer Centerin sivuston perässä suoraan, ja kaikki hänen korostamansa käyttäjätiedot tulivat iAd Workbenchistä. Kaksi erillistä bugia tasoitti tietä yhdelle hyvin hämmentävälle videolle.
Tämän iAd-haavoittuvuuden perusteella Balic kirjoitti Python-skriptin, jonka avulla hän pystyi keräämään kaikki eilen videoleikkeessä esitetyt tiedot, eli tuhannet iTunes-tilit ja Applen työntekijöiden tilit. Tämän haavoittuvuuden lisäksi Balic havaitsi, että XSS-tyyppisen hyökkäyksen kautta kehittäjille omistettua portaalia voidaan hyödyntää, hän vahvisti, ettei hän tehnyt niin. Vaikka haavoittuvuuksien todistamiseksi hän hankki kehittäjien tiedot, Balic väittää, että ne eivät ole peräisin Dev Centeristä ja ettei hän ottanut muita tietoja kyseisestä portaalista, Apple totesi eilen täsmälleen saman asian.
Koko keskustelumme ajan Balic väitti, että hän yritti vain auttaa Applea. Kun Balicilta kysyttiin, miksi hän latasi kaikki käyttäjätiedot sen sijaan, että olisi vain ilmoittanut virheestä, Balic sanoo halunneensa vain nähdä, kuinka syvälle hän voisi mennä. Jos hän olisi halunnut tehdä pahaa, hän sanoo, ettei hän olisi ilmoittanut kaikesta, mitä hän löysi. Hän sanoo myös, ettei hän koskaan yrittänyt nollata kenenkään salasanaa – kauimpana hän meni lähettämällä sähköpostia yhteen löytämistään osoitteista ja kysymällä, oliko se todella henkilön Apple ID. Balic ei saanut vastausta.
Kehittäjän lausunnoista huolimatta, jos hän on todella syyllinen Dev Centerin sulkemiseen, Apple voisi ryhtyä oikeudellisiin toimiin häntä vastaan ja haastaa hänet oikeuteen aiheutettuista ongelmista.
